頻道欄目
2018新表十二生肖图 > 安全 > 系統安全 > 正文

买马资料网站:Server 2008 R2 事件查看器實現日志分析

2015-01-10 09:38:43           
收藏   我要投稿

2018新表十二生肖图 www.mtrag.tw

 


 

在 windows server 2008 R2 中,可以通過點擊 "開始" -> "管理工具" -> "事件查看器" ,來打開并查看各種類型的系統內置日志記錄;讓我們來做一個實際練習:使用事件查看器檢查各種帳戶的登錄事件,包括系統內置的特殊帳戶,以及大家熟悉的 administrator 管理員帳戶。

一般而言,在啟動服務器后,一個叫做 winlogon.exe 的進程會先以 

NT AUTHORITY\SYSTEM (帳戶域\帳戶權限)登錄,然后

進入要求用戶鍵入 ctrl + alt + del 并輸入帳密的登錄界面,此時,winlogon.exe 檢查并驗證用戶的輸入,通常的做法是將用戶鍵入的密碼以某種哈希算法生成密文,將其與 SAM 數據庫文件中的密文進行比對,如果一致則該賬戶通過驗證并登錄,然后賦予相應的權限。

所有這些過程都會被記錄進系統內置的"安全"類型日志,可以通過事件查看器瀏覽;

除了 winlogon.exe 進程外,其它一些系統進程也會在用戶登錄前,使用特殊帳戶先行登錄。這些登錄事件同樣可以在事件查看器中一覽無遺,

(例如,一個叫做 services.exe 的系統服務進程,使用 NT AUTHORITY\SYSTEM (帳戶域\帳戶權限)登錄,然后它會創建數個 svchost.exe子進程,而每個 svchost.exe 進程都會啟動并納宿一些基本的 windows 服務,而許多用戶空間的應用程序將使用這些服務,實現它們的功能)

下面結合圖片講解事件查看器在這兩個場景中的應用:

一,首先按照上述步驟打開事件查看器,在左側窗口中展開 "Windows 日志"節點,選取"安全"項目,此時在中間的窗口會列出自系統安裝以來,記錄的所有安全事件,假設我們要查看最近 24 小時以內的帳戶登錄與驗證,審核,權力指派等事件,可以在"安全"項目上右擊鼠標,在彈出的上下文菜單中選擇"篩選當前日志(L)"

二,在打開的對話框中,切換到"篩選器"標簽,在"記錄時間(G)"右側的下拉列表中,選擇"近 24 小時",然后點擊下方的確定按鈕


三,顯示出篩選的結果,下面這張圖顯示了在 24 小時內紀錄的 73 項安全事件(Microsoft Windows 安全審核是準確的稱呼),你可以按照日期與時間列排序事件,或者按照事件ID,任務類別(我覺得翻譯成事件類別會比較好理解)來排序時間,

我們關注的是"登錄"與"特殊登錄"事件,因此需要選擇以任務類別排序.

下圖中沒有按照任務類別排序,而是默認按照日期與時間排序,其優點是,可以追蹤在系統啟動過程中,哪個系統進程使用哪個系統內置帳戶登錄,并且可以直觀地看出它們之間的先后次序.




 


 

 


 

通過上面的分析,你是否已經直觀地感受到事件查看器的強大功能?

下面讓我們再看另一個例子:使用事件查看器瀏覽,因遠程過程調用(RPC)服務啟動失敗,導致我們無法以管理員登錄 windows server 2008 R2 的事件記錄.

先糾正一個普遍存在的錯誤理解;

RPC 監聽在本地環回(127.0.0.1)地址的 135 端口,出于安全考慮,很多人會將這個端口關閉,以阻止蠕蟲病毒與攻擊者入侵,但是我們會發現這個地址上的 135 端口始終關不掉而因此憂心忡忡;

其實,127.0.0.1:135 是必須的,如果該端口不打開,則說明 RPC 服務沒有啟動,從而導致很多依賴 RPC 的其它系統服務無法啟動,

再說,除非你手動通過 services.msc 服務管理器來禁用它,否則通過其它手段是很難關閉的(包括修改注冊表鍵值),

我們真正應該關閉并警惕的,是那些監聽在非本地環回的 135 端口,例如 192.168.0.1:135 ,因為這個地址是可以與遠程主機的地址通信的,攻擊者可以掃描監聽在這個地址端口上的程序2018新表十二生肖图,并遠程執行惡意代碼(通過 Metasploit 即可辦到),從而入侵我們的服務器.

如果關不掉,也可以使用 windows 高級防火墻來禁止該地址端口上的出入站流量.

總之,本地環回的 135 端口是必須打開的,這并非是惡意軟件,木馬程序開放的端口,否則你連 windows 桌面都無法登錄.

如果無法登錄 windows server 2008 R2 服務器的桌面,并且系統提示 RPC 服務啟動失敗,無法讀取用戶 profile ,那么可以進入安全模式,運行 services.msc ,找到其中的 Remote Procedure Call (RPC) 以及 RPC Endpoint Mapper(RpcEptMapper) ,將這兩個服務設置為自動啟動,然后運行 msconfig ,

在"服務"標簽中,確保勾選了 RPC Endpoint Mapper ,點確定后重啟系統,以正常模式進入,應該就能用管理員賬戶登錄了.

下圖給出了一個事件查看器中的一項 RPC 服務啟動失敗信息:

 

 

 

相關TAG標簽 事件 日志
上一篇:華碩ASUS路由器命令執行漏洞CVE-2014-9583
下一篇:QQ改密碼漏洞無視QQ密保和安全手機直接修改QQ密碼
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 2018新表十二生肖图

版權所有: 2018新表十二生肖图--致力于做實用的IT技術學習網站